目錄
- 一、說明
- 二、設置TMOUT方式
- 2.1. 實現方式
- 2.2. 具體查詢方式
- 2.3. 配置查詢的注意點
- 三、修改sshd_config文件方式
- 3.1. ClientAliveCountMax的值是0
- 3.2. ClientAliveCountMax的值大于0
- 3.3. 源代碼解釋
- 四、兩個方式的不同
一、說明
等保測評主機測評中需要查詢主機的超時退出配置,具體在Centos中的話,主要有兩種方式可以實現超時退出的功能。其實這方面的資料很多,但是仍然存在一些地方沒有說清楚(sshd_config的一個參數),所以本文的目的之一就是把那些問題說清楚。
注:我使用的是Centos6
另外本文也順便說一說在linux系統中,查詢配置的一個注意點。
二、設置TMOUT方式
這個是比較通用、簡單的方式,通過設置TMOUT,就可以至少對本地tty登錄和遠程使用ssh登錄的用戶起作用,但應該對圖形化界面無效,當然進入圖形化界面你再打開終端,對于打開的終端也是起作用的。
2.1. 實現方式
在/etc/profile、~/.bashrc、~/.bash_profile等文件的最后加入export TMOUT=900語句即可(單位是秒),然后想要不重新登錄就起效就,還需要用source命令解析上述文件。
上述文件中,/etc/profile針對所有用戶其效果,而~/.bashrc、~/.bash_profile則只對當前用戶其效果,實際上從文件位置就能看出來。
2.2. 具體查詢方式
從上面可以知道,理論上可以在好幾個地方對TMOUT進行配置,不過一般應該是在/etc/profile這個文件中對所有用戶進行設置,可能有極個別的會單獨為每個用戶配置超時時間。
所以直接查看/etc/profile文件內容,然后再用echo $TMOUT語句看看運行環境中的TMOUT變量到底是多少。
2.3. 配置查詢的注意點
這里多說一點,在查配置時,對于linux系統最好是 配置文件 以及 實際情況 一塊查。
為什么要一塊查?
因為配置文件里寫了不代表就起效了,比如/etc/profile修改后需要用source命令才能起效。另外,配置文件中的配置即使起效了,但未必就等同于現在實際執行的規則。
比如iptables的規則可以用命令動態修改,當然如果沒有使用命令持久化(也就是將當前規則存入iptables的配置文件中)的話,重啟iptables服務那些臨時的規則就沒了。
所以同樣的,配置文件里啥都沒寫,不代表現在運行的環境中沒有規則,比如iptables的規則可以用命令臨時添加進來。
所以如果想在測評的時候更全面的了解情況,最好就是一塊查。
三、修改sshd_config文件方式
一般來說,遠程對linux服務器進行管理都是通過ssh協議,所以對sshd_config文件進行配置,也是一種方法,雖然只對通過ssh登錄的所有用戶有效。
記住修改完sshd_config文件后需要重啟才能生效。
在sshd_config文件中有兩個參數,分別是ClientAliveInterval和ClientAliveCountMax。
這里網上好像沒說清楚,這里根據ClientAliveCountMax的取值是不是0,會有兩種效果。
3.1. ClientAliveCountMax的值是0
這種情況下,就是我們想要的操作超時自動退出的效果,也就是當客戶端多久沒有操作,服務器端就直接斷開ssh連接。
這個“多久”當然就是由ClientAliveInterval的值來決定,它的單位是秒。
比如ClientAliveInterval是600,ClientAliveCountMax是0,則代表著如果600秒內終端沒有操作,則斷開ssh連接。
3.2. ClientAliveCountMax的值大于0
這種情況下,和我們想要的效果有區別:
ClientAliveInterval:指定了服務器端向客戶端請求消息的時間間隔,默認值是0;
ClientAliveCountMax:則指定這種請求服務器端發送后,客戶端最多的無響應次數(但網上一般是說服務器端最多向客戶端發送這種消息多少次,我覺得不太對),默認值是3。
如果ClientAliveInterval是60,ClientAliveCountMax是1,表面上看它的意思就是如果60s內客戶端沒有響應,服務器端就會給客戶端發送一個請求判斷還它存不存在,如果1次也就是60秒都沒有任何回復,就斷開連接。
所以咋一看上去,和ClientAliveCountMax的值是0時沒啥區別,還是60秒后不操作就自動斷開不了啊。
但實際上壓根不一樣,因為當服務器端給客戶端發送一個請求判斷還它存不存在時,客戶端應該是會 自動回復 的,同時,ClientAliveCountMax并不是指會發送這種消息多少次,或者好像和這個壓根就沒關系,它應該是指 服務器端發送這種請求后,客戶端最多的無響應次數 ,而且還得是連續的,因為從源代碼里面看(見下文),只要有一次正常相應,這個次數就會被清空。
也就是說, 這里判斷的應該是客戶端那邊網絡有沒有出現問題,比如斷線了之類的 。
因為只要網絡正常,客戶端這邊永遠會自動回復服務器端發送過來的請求,則這個計數永遠達不到限定的閾值1,也永遠不會自動退出(理想情況下啊),和你有沒有進行操作沒有任何關系……
我自己測試過,將ClientAliveInterval設置為60,ClientAliveCountMax設置1,然后我一直不操作,同時我把xshell里保持活動狀態的選項關掉:
結果就是到了60秒后根本不會自動退出……
然后我又把ClientAliveInterval和ClientAliveCountMax都設置成1,結果就是服務器那邊每隔1秒就發個消息過來(有消息傳輸的時候那個箭頭會亮):
要是按照網上的解釋,最多只發送1次這種消息就結束會話,那壓根解釋不通,這都給我發了無數次了……
我跑去看man里的解釋,也沒看出所以然:
ClientAliveCountMax
Sets the number of client alive messages (see below) which may be sent without sshd(8) receiving any messages back from the client. If this threshold is reached while client alive messages are being sent, sshd will disconnect the client, terminating the session. It is important to note that the use of client alive messages is very different from TCPKeepAlive (below). The client alive messages are sent through the encrypted channel and therefore will not be spoofable. The TCP keepalive option enabled by TCPKeepAlive is spoofable. The client alive mechanism is valuable when the client or server depend on knowing when a connection has become inactive. The default value is 3. If ClientAliveInterval (see below) is set to 15, and ClientAliveCountMax is left at the default, unresponsive SSH clients will be disconnected after approximately 45 seconds. This option applies to protocol version 2 only.
ClientAliveInterval
Sets a timeout interval in seconds after which if no data has been received from the client, sshd(8) will send a message through the encrypted channel to request a response from the client. The default is 0, indicating that these messages will not be sent to the client. This option applies to protocol version 2 only.
3.3. 源代碼解釋
于是我就去翻了翻源代碼,不過我對c語言不熟,只能大概猜一猜了(有錯誤請見諒):
wait_until_can_do_something函數里有這么一段:
/* Wait for something to happen, or the timeout to expire. */
ret = select((*maxfdp)+1, *readsetp, *writesetp, NULL, tvp);
if (ret == -1) {
memset(*readsetp, 0, *nallocp);
memset(*writesetp, 0, *nallocp);
if (errno != EINTR)
error("select: %.100s", strerror(errno));
} else {
if (ret == 0 && client_alive_scheduled)
client_alive_check();
if (!compat20 && program_alive_scheduled && fdin_is_tty) {
if (!fdout_eof)
FD_SET(fdout, *readsetp);
if (!fderr_eof)
FD_SET(fderr, *readsetp);
}
}
里面的select函數定義是這樣的:
int select(int maxfdp,fd_set *readfds,fd_set *writefds,fd_set *errorfds,struct timeval*timeout);
它能夠監視我們需要監視的文件描述符的變化情況——讀寫或是異常,它的最后一個參數timeval*timeout是一個超時時間,如果timeout的值大于0,這就是等待的超時時間,即select在timeout時間內阻塞,超時時間之內有事件到來就返回了,否則在超時后不管怎樣一定返回。
如果timeout的值是null,則代表將select置于阻塞狀態,一定等到監視文件描述符集合中某個文件描述符發生變化為止。
而返回值為-1代表出異常了,為0則代表超時時間內,監視的這些文件即沒有可寫的也沒有可讀的,換句話說,為0就是意味著客戶端那沒有任何操作。
在代碼中,在一定的條件下,這個timeout的值就是我們設置的ClientAliveInterval的值(如果設置值大于0),如果ClientAliveInterval是0,則timeout的值根據一些條件則為null。
然后根據client_alive_scheduled的值,就有可能調用client_alive_check(),不過如果是使用ssh2協議然后設置了ClientAliveInterval,應該client_alive_scheduled的值就是1,代碼如下:
if (compat20 &&
max_time_milliseconds == 0 && options.client_alive_interval) {
client_alive_scheduled = 1;
max_time_milliseconds = options.client_alive_interval * 1000;
}
client_alive_check的定義如下:
static void
client_alive_check(void)
{
int channel_id;
/* timeout, check to see how many we have had */
if (packet_inc_alive_timeouts() > options.client_alive_count_max) {
logit("Timeout, client not responding.");
cleanup_exit(255);
}
/*
* send a bogus global/channel request with "wantreply",
* we should get back a failure
*/
if ((channel_id = channel_find_open()) == -1) {
packet_start(SSH2_MSG_GLOBAL_REQUEST);
packet_put_cstring("keepalive@openssh.com");
packet_put_char(1); /* boolean: want reply */
} else {
channel_request_start(channel_id, "keepalive@openssh.com", 1);
}
packet_send();
}
可以看到如果packet_inc_alive_timeouts()大于options.client_alive_count_max,則就結束了。
而packet_inc_alive_timeouts的定義很簡單,就是把累積的timeouts加個1,然后返回。
int
packet_inc_alive_timeouts(void)
{
return ++active_state->keep_alive_timeouts;
}
所以,如果設置的ClientAliveCountMax是0,到這里就直接結束了(0+1>0),不會執行下面的發送請求的代碼。
如果(channel_id = channel_find_open())不為-1,應該代表channel沒問題的話,就會執行:
channel_request_start(channel_id, "keepalive@openssh.com", 1);
channel_request_start中有這么一句:
packet_start(SSH2_MSG_CHANNEL_REQUEST);
而SSH2_MSG_CHANNEL_REQUEST應該是綁定了一個函數
dispatch_set(SSH2_MSG_CHANNEL_REQUEST, &server_input_channel_req);
所以就會調用server_input_channel_req函數,server_input_channel_req函數在有這么一段:
reply = packet_get_char();
…………
if (reply) {
packet_start(success ?
SSH2_MSG_CHANNEL_SUCCESS : SSH2_MSG_CHANNEL_FAILURE);
packet_put_int(c->remote_id);
packet_send();
}
這里根據success的值又會調用一個函數,其實好像調用的函數是一樣的:
dispatch_set(SSH2_MSG_CHANNEL_SUCCESS, &server_input_keep_alive);
dispatch_set(SSH2_MSG_CHANNEL_FAILURE, &server_input_keep_alive);
dispatch_set(SSH2_MSG_REQUEST_SUCCESS, &server_input_keep_alive);
dispatch_set(SSH2_MSG_REQUEST_FAILURE, &server_input_keep_alive);
都是server_input_keep_alive函數,這個函數的意思就很簡單了:
static void
server_input_keep_alive(int type, u_int32_t seq, void *ctxt)
{
debug("Got %d/%u for keepalive", type, seq);
/*
* reset timeout, since we got a sane answer from the client.
* even if this was generated by something other than
* the bogus CHANNEL_REQUEST we send for keepalives.
*/
packet_set_alive_timeouts(0);
}
packet_set_alive_timeouts(0)就是把active_state->keep_alive_timeouts的值設為0,也就是重置了這個計數。
所以饒了一圈,這些代碼的意思大概應該是這樣,如果客戶端在規定時間內沒有響應,就先判斷未響應次數是否超過設置的值,如果超過就結束。
如果沒超過,就把這個次數加1,然后發送一個請求,看看客戶端還在不在,如果客戶端網絡正常(應該會自動回復),就會得到客戶端的回復,于是就重置這個未響應計數。
四、兩個方式的不同
TMOUT方式可以針對所有用戶通過本地tty或遠程ssh登錄時起作用,而修改sshd_config只針對使用ssh登錄的用戶。
另外一點就是TMOUT判斷你有沒有在操作,好像是看你有沒有輸入什么字符然后敲回車執行,你輸入正確的命令敲回車執行命令,就算。輸入無意義的字符敲回車沒有找到可執行的命令,那也算。光輸入字符不敲回車就不算,而判斷你處于空閑狀態,超時就會登出。
而ssh是基于網絡來判斷,只要客戶端對服務器有發送信息,那就算有在操作。
這也是兩者的一些細微的不同之處。
總結
以上所述是小編給大家介紹的等保測評:Centos超時退出,希望對大家有所幫助,如果大家有任何疑問請給我留言,小編會及時回復大家的。在此也非常感謝大家對腳本之家網站的支持!
如果你覺得本文對你有幫助,歡迎轉載,煩請注明出處,謝謝!
